La ricerca scientifica corre veloce come le nuove tecnologie, dall’intelligenza artificiale in primis, contribuendo al progresso scientifico, così i ricercatori possono utilizzare e analizzare i dati in modi innovativi.
Ecco che, a fronte di questa preziosa esigenza, il Comitato europeo per la protezione dei dati (EDPB) ha adottato, lo scorso 16 aprile le Linee guida sul trattamento dei dati personali a fini di ricerca scientifica in consultazione pubblica fino al 25 giugno 2026.
Vediamo come l’EDPB intende fare chiarezza, con focus sui punti nel seguito in risalto.
Indice degli argomenti
EDPB e ricerca scientifica: le principali novità
Dalla lettura delle linee guida le principali novità che emergono, senza tralasciare la visione di insieme, riguardano gli “ambiti della ricerca scientifica” che si basano sull’elaborazione dei dati personali degli individui, con evidente beneficio per la Società, siccome “la ricerca scientifica può promuovere il progresso sociale e migliorare la nostra vita quotidiana” come dichiara Anu Talus, presidente dell’EDPB.
Per fornire chiarimenti sul concetto e quindi più preciso ambito di “ricerca scientifica” in termini di dati, cioè a dire se il trattamento dei dati avviene per finalità di ricerca scientifica ai sensi del GDPR, sei sono i fattori chiave che l’EDPB individua e che sono da considerare, quali testualmente:
- approccio metodico e sistematico;
- rispetto degli standard etici;
- verificabilità e trasparenza;
- autonomia e indipendenza;
- obiettivi della ricerca;
- potenziale contributo alla conoscenza scientifica esistente o applicazione della conoscenza esistente in modi innovativi.
Si tratta, in altri termini, di elementi chiave dai quali si può presumere se siamo o meno in ambito di “ricerca scientifica”. In difetto, il titolare del trattamento deve giustificare ed essere in grado di dimostrare perché le attività vadano considerate tali, ai sensi del GDPR.
Come se fosse un “on or off”.
Ma le chiavi di lettura innovativa non intendono fermarsi all’ambito. Infatti, l’EDPB pur riconoscendo la “supremazia” del consenso cd “ampio”, quale primaria base giuridica, apre all’interesse pubblico e interesse legittimo entro certi limiti.
Ancora, l’EDPB chiarisce “i diritti degli interessati quando i loro dati personali vengono trattati per scopi scientifici. Ciò include il diritto alla cancellazione e il diritto di opposizione, ai quali possono essere applicate delle limitazioni quando i dati personali sono trattati per scopi di ricerca scientifica”, fornendo svariati esempi per spiegare quando il diritto alla cancellazione possa essere considerato tale da rendere impossibile o compromettere seriamente l’obiettivo della ricerca scientifica.
Non solo, l’EDPB spiega anche “quando i titolari del trattamento possono respingere l’opposizione di un interessato al trattamento dei suoi dati personali per scopi di ricerca scientifica”. In pratica, quando il trattamento “è necessario per l’esecuzione di un compito svolto per motivi di interesse pubblico” che di fatto prevale.
Infine, l’EDPB spiega come “i titolari del trattamento possano valutare le misure tecniche e organizzative appropriate, come l’anonimizzazione o la pseudonimizzazione, nel trattamento dei dati personali a fini di ricerca scientifica”, caldeggiandole.
EDPB e ricerca scientifica: apertura verso altre basi giuridiche
Non solo il consenso potrà essere annoverato tra le basi giuridiche, apertura anche verso altre che, parimenti, potranno reggere la legittimità delle basi giuridiche tra queste l’EDPB contempla ragionevolmente l’interesse pubblico o esercizio dell’autorità ufficiale (art. 6, par. 1, lett. e), e l’interesse legittimo (art. 6, par. 1, lett. f) entro certi limiti.
L’interesse pubblico
Poiché la ricerca scientifica è riconosciuta come “un bene sociale che contribuisce alla conoscenza generale e al benessere della società”, ben può sussistere un “interesse pubblico” nello svolgimento di tale attività.
Di qui, il trattamento dei dati personali può comodamente regge sull’interesse pubblico, il quale diventa idonea base giuridica di particolare importanza per l’attività di ricerca scientifica.
Per garantirne la prevedibilità, le linee guida evidenziano l’opportunità di (dover) specificare aspetti aggiuntivi sul trattamento dei dati personali, con un passaggio importante che desta apertura, quando l’EDPB afferma che “Affidarsi all’esecuzione di un compito svolto nell’interesse pubblico, o all’esercizio dell’autorità ufficiale, come base giuridica non si limita agli enti pubblici che conducono ricerche scientifiche” aprendo quindi anche alle entità private che fanno attività di ricerca scientifica, la possibilità di fare affidamento su tale base giuridica.
L’interesse legittimo
Le Linee Guida dell’EDPB ci riferiamo a quelle n. 1/2024 sull’interesse legittimo, come ricordiamo, forniscono delle linee guida generali sulla base giuridica dell’interesse legittimo.
Partendo da lì, l’EDPB con le linee guida in parola aggancia la ricerca scientifica e relativo trattamento dei dati personali, entro certi limiti, all’interesse legittimo (art. 6, par. 1, lett. f) indipendentemente dal fatto che dette attività siano svolte con o senza scopo di lucro.
D’altronde, la ricerca scientifica è generalmente attribuita ad un’attività benefica per la società.
Tuttavia, in questi casi andrà sempre operato un attento test di bilanciamento ovvero una LIA a dimostrazione della tenuta delle scelte fatte, in termini di accountability.
In ogni caso, ben evidenziano le linee guida in parola che “nel valutare se l’interesse legittimo per uno scopo di ricerca scientifica prevalga sugli interessi o sui diritti o libertà fondamentali dei soggetti” occorre fornire adeguate garanzie, onde evitare, ridurre o mitigare il più possibile l’impatto sui diritti e le libertà degli interessati.
In altri termini, se un titolare stabilisce che le tutele adottate non sono sufficienti ad affrontare i rischi identificati, andranno adottate ulteriori misure di mitigazione, dovendo rifare il bilanciamento di interessi di cui si è accennato.
In difetto, non potrà reggere la base giuridica dell’interesse legittimo che non dobbiamo dimenticare essere tendenzialmente residuale, anche in contesti come quelli che ci occupano.
Aperture a fronte di adeguate garanzie
Aperture sì in campo di ricerca scientifica, ma sempre a fronte di adeguate garanzie. L’art. 89 resta quindi norma del Regolamento applicabile e ineludibile, richiedendo ai titolari di trattamento di adottare adeguate garanzie per garantire i diritti e le libertà degli interessati.
In concreto, ciò significa che devono essere messe in campo misure tecniche e organizzative, per garantire in specie il rispetto del principio di minimizzazione dei dati, quando i dati personali vengono trattati per scopi di ricerca scientifica.
Come noto, i dati personali devono essere anonimizzati o pseudonimizzati in ambito di ricerca scientifica sanitaria. A maggior ragione se per raggiungere gli scopi si addestrano algoritmi e modelli, l’attenzione a fare in modo che i dati personali siano anonimi o aggregati deve essere altissima.
Anonimizzazione e pseudonimizzazione dei dati personali
Come ricorderemo, secondo il principio di minimizzazione dei dati, i dati personali devono essere “adeguati, rilevanti e limitati a quanto necessario in relazione agli scopi per cui sono trattati“.
Di qui, il trattamento dei dati personali a scopo di ricerca scientifica, non può prescindere dall’individuazione di quei dati “strettamente necessari”.
La minimizzazione dei dati, all’art. 89, stabilisce infatti proprio che quando gli scopi della ricerca scientifica “[…] possono essere soddisfatti tramite ulteriori trattamenti che non permettono [ndr. fin da principio] o non permettono più l’identificazione dei soggetti, tali scopi devono essere soddisfatti in tale modo”.
Non solo, il trattamento dei dati personali a fini di ricerca scientifica utilizzati per identificare direttamente una persona dev’essere effettuato “solo quando è ritenuto strettamente necessario e proporzionato al fine di raggiungere gli scopi della ricerca scientifica”.
Ancora, dalla lettura delle linee guida in parola emerge che la valutazione del formato dei dati necessaria e giustificabile da elaborare a fini di ricerca scientifica, deve avvenire in presenza di un piano per il trattamento dei dati personali, ad esempio un database o un piano di ricerca, divenendo parte integrante dell’analisi del rischio/DPIA.
Salvaguardie per il trattamento dei dati genetici o biometrici
Poi l’EDPB si soffermano sui dati genetici ovvero quei “dati personali ottenuti dall’analisi di campioni biologici di origine umana”, correlati “alle caratteristiche genetiche ereditate o acquisite di un individuo, come una sequenza genomica completa o alcuni marcatori genetici unici per un individuo”, come si legge spesso nei Protocolli legati agli Studi clinici.
I profili dei dati genetici sono dati personali che potremmo classificare di default.
I dati biometrici a loro volta sono, in modo simile ai dati genetici, unici per ogni individuo e possono rivelare le relazioni familiari.
Su questi l’EDPB sollecita una particolare cautela, in quanto la natura specifica e i rischi di tali operazioni di elaborazione, non si ravvisano solo per i soggetti che partecipano alla ricerca scientifica, ma anche per tutti quegli altri che sono imparentati con il partecipante alla ricerca.
Al riguardo, le garanzie appropriate non potranno limitarsi a procedure di pseudonimizzazione, ma richiederanno anche altre pratiche come “l’approvazione etica, le limitazioni di scopo particolarmente restrittive, archiviazione federata con accesso tramite ambienti di elaborazione sicuri, nonché controlli di accesso rigidi e basati su ruoli”. Il tutto a fronte di informative adeguate e ben strutturate.
Ulteriori garanzie
L’EDPB nelle linee guida in parola si spinge oltre, facendo esempio di ulteriori garanzie quali:
- strutture di governance per la supervisione del trattamento dei dati personali, come commissioni di revisione interne o esterne o altri comitati di supervisione, inclusa la rappresentanza da parte dei soggetti dei dati, quando applicabile;
- maggiore trasparenza, oltre ai requisiti degli articoli 12-14 GDPR, fornendo ad esempio informazioni tramite una piattaforma online, attraverso la quale i partecipanti possano essere informati sui progetti di ricerca in corso e futuri, sulla loro natura e metodi, nonché sugli esiti di progetti di ricerca che hanno utilizzato dati personali;
- limitazione rigorosa dello scopo, ad esempio limitare contrattualmente qualsiasi ulteriore trattamento di dati personali da parte di un ricevente di trattamento;
- un diritto incondizionato di opporsi al trattamento dei dati personali;
- garanzie legali, ad esempio con atti unilaterali, che i risultati della ricerca non saranno utilizzati per influenzare direttamente o indirettamente i partecipanti alla ricerca;
- assoluto rispetto delle regole etiche nel campo scientifico pertinente, inclusa l’approvazione etica, quando applicabile, o la supervisione o la supervisione da parte di comitati o consigli etici;
- robuste procedure per la revisione dei dati personali conservati continuamente a scopo di ricerca scientifica al fine di determinare la necessità di conservazione continua;
- tecnologie avanzate come la crittografia omomorfa o l’uso di dati sintetici;
- conformità agli Standard rilevanti o della condotta professionale in campo scientifico;
- ambiente di elaborazione dati sicuro/blindato con archiviazione in cloud su server ben protetti, evitando l’archiviazione locale;
- adozione di misure complementari volte a prevenire la reidentificazione dei soggetti dati, con la previsione di sanzioni/penali contrattuali in caso contrario;
- requisiti di qualifica per i ricercatori, nonché una corretta formazione nella protezione dei dati per le persone autorizzate a processare i dati di ricerca;
- obblighi di riservatezza (NDA) forti per i ricercatori e altri membri dello staff con accesso ai dati personali (ad esempio personale IT);
- adozione di codici condotta e certificazioni tutti strumenti utili alla mitigazione dei rischi.
EDPB e ricerca scientifica: cosa aspettarsi
In conclusione, nel solco dell’innovazione in atto, la ricerca scientifica assume un ruolo di centralità, e in quanto tale è quanto mai essenziale un delicato equilibrio tra innovazione e diritti fondamentali.
Sarà interessante vedere come queste linee guide verranno consolidate, riducendo incertezze applicative, ma coi diritti degli interessati al centro.
